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© Vorrichtung und Verfahren zum individuellen Filtern von iiber ein Netzwerk iibertragener Informationen 

© Vorrichtung und Verfahren zum individuellen Filtern 
von uber ein Netzwerk ubertragener Informationen in 
Form von Anfragen und Antworten, die an ein Nutzerge- 
rat gerichtet sind, mit Nutzerprofilen, wobei in einem er- 
sten Schritt eine Netzwerkadresse des Nutzergerats dem 
Nutzerprofil anhand der zumindest einmalig ubertrage- 
nen Nutzeridentifikationsdaten zugeordnet wird und in ei- 
nem weiteren Schritt die vom Nutzergerat angeforderten 
und gesendeten Informationen anhand der im Nutzerpro- 
fil gespeicherten Kriterien gefiltert werden. Die Kriterien 
werden durch Regeln bestimmt, die Mengen von Anfra- 
gen und Antworten definieren, die nicht weitergeleitet 
werden, wobei diese Menge durch bekannte Mengenope- 
rationen verknupft werden konnen. Die Regeln werden 
durch in den Informationen enthaltene Worter, durch Do- 

■ main-Namen, durch die Verweilzeit im Internet und/oder 
( durch die GroBe oder die Art der Informationen be- 

■ stimmt. 
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Beschreibung 

Die Erfindung betrifft Vorrichtungen und Verfahren zum 
individuellen Filtera von iiber ein Netzwerk iibertragener 
Informationen, die an ein Nutzergerat gerichtet sind. 5 

Aufgrund des starken Wachstums des Internet und seines 
unstrukturierten, unkontrollierbaren Aufbaus findet man 
dort eine Reihe von Informationen, die bestimmten Berufs- 
gruppen oder Personengruppen nicht zuganglich sein soil- 
ten. Insbesondere Kinder sollten keinen Zugang zu Themen 10 
wie Gewalt haben. Auch in Unternehmen besteht ein Bedarf 
den Zugang zum Internet zu kontrollieren und nur Informa- 
tionen bereitzustellen, die der Erfiillung der Aufgabe des 
Arbeitnehmers dienen konnen. Die primaren Dienste, die 
kontrolliert werden sollen, sind WWW, Email und FTP. Be- 15 
kannte Netzwerkfliter, wie sie von CyberPatrol und Net- 
Nanny angeboten werden, sind lediglich statischer Natur. Es 
ist mit ihnen nicht moglich eine nutzerspezifische Filterung 
von Informationen vorzunehmen. Vielmehr weisen sie eine 
Datenbank auf, in der alle Seiten gespeichert sind, auf die 20 
ein Zugriff nicht zu erfolgen hat bzw. auf die zugegriffen 
werden kann. Diese Eigenschaft ermoglicht es lediglich 
diese bekannten Filter in groBen Firmennetzwerken einzu- 
setzen, bei denen die Filteranforderungen fiir eine groBe 
Nutzerzahl identisch sind. Eine Verwendung bei Internet- 25 
Providern, die eine Vielzahl von unterschiedlichen Nutzern 
aufweisen, die unterschiedliche Anforderung an die Filte- 
rung der Informationen haben, ist hiermit nicht moglich. 

Aufgabe der vorliegenden Erfindung ist es, einen Netz- 
werkfilter bereitzustellen, der unterschiedliche Filterprofile 30 
verwaltet, die einem Nutzer individuellen zugeordnet wer- 
den konnen und deren Regeln je nach Bedarf angepaBt wer- 
den konnen. 

Gelost wird diese Aufgabe durch Vorrichtungen und Ver- 
fahren mit den Merkmalen der Anspriiche 1 und 15, insbe- 35 
sondere durch eine Vorrichtung zum individuellen Filtern 
von iiber ein Netzwerk iibertragener Informationen, die an 
ein Nutzergerat gerichtet sind. Diese Vorrichtung hat minde- 
stens einen Nutzerprofilspeicher, in dem nutzerspezifische 
Filterprofile abgelegt sind. Weiterhin hat sie mindestens ein 40 
Eingabegerat, das die zu filternden Informationen aus dem 
Netzwerk empfangt, und mindestens ein Ausgabegerat, das 
die gefilterten Informationen zum Nutzergerat sendet. Wei- 
terhin hat die Vorrichtung eine Bearbeitungseinheit, die eine 
Netzwerkadresse des Nutzergerats anhand der zumindest 45 
einmalig iibertragenen Nutzeridentifikationsdaten dem nut- 
zerspezifischen Filterprofil zuordnet und die im folgenden 
anhand des Filterprofils die Informationen aus dem Netz- 
werk, die unmittelbar oder mittelbar an die entsprechenden 
Netzwerkadresse adressiert sind, nach den Kriterien des Fil- 50 
terprofils filtert. 

Das Netzwerk ist vorzugsweise das Internet, wobei die 
Vorrichtung zwischen dem Internet und dem Nutzergerat an- 
geordnet ist. Die Vorrichtung kann sowohl logisch als auch 
physikalisch zwischen dem Nutzergerat und dem Internet 55 
angeordnet sein. Das Eingabegerat, das vorzugsweise eine 
Netzwerkkarte darstellt, ist mit dem Internet verbunden ist, 
um Informationen aus dem Internet zu empfangen. Uber das 
Ausgabegerat werden die gefilterten Ergebnisse aus dem In- 
ternet dann an das Nutzergerat iibermittelt. Hierbei ordnet 60 
die Bearbeitungseinheit anhand der iibertragenen Nutzeri- 
dentifikationsdaten ein nutzerspezifisches Filterprofil der 
IP-Adresse des Nutzergerats zu. Die Bearbeitungseinheit fil- 
tert im folgenden anhand des Filterprofils die Informationen 
aus dem Netzwerk, die unmittelbar oder mittelbar an die 65 
entsprechende IP-Adresse adressiert sind oder von ihr stam- 
men, nach den Kriterien des Filterprofils. 

In einer weiteren vorteilhaften Ausbildung weist die Vor- 
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richtung zusatzlich die Funktionalitat eines bekannten Inter- 
net- Proxy s auf, der eine lokale Socket-Verbindung zum 
Nutzergerat aufbaut, iiber die der Informationsaustausch mit 
dem Internet erfolgt, wobei anhand der zumindest einmali- 
gen iibertragenen Nutzeridentifikationsdaten, die in Abhan- 
gigkeit zu der IP-Adresse des Nutzergerats stehen, die Bear- 
beitungseinheit das nutzerspezifische Filterprofil der IP- 
Adresse zuordnet. Die Funktionalitat eines Internet-Proxys 
ist maBgeblich dadurch bestimmt, daB die IP-Adressen der 
Nutzergerate auf eine einheitliche IP-Adresse abgebildet 
werden, wobei diese einheitliche IP-Adresse maskierte 
wird, um eine Rucktransformation zu erlauben. Weiterhin 
weist der Internet-Proxy eine Cache-Funktion auf, die es er- 
laubt, bereits abgerufene Informationen schneller bereitzu- 
stellen. 

Auch ist es moglich das gewiinschte Ergebnis mit einem 
transparenten Internet- Proxy zu erreichen. Ein transparenter 
Proxy lauscht am Informationsverkehr zwischen den Nut- 
zergeraten und dem Internet. Es ist somit nicht notwendig, 
daB das Nutzergerat eine lokale IP-Verbindung zum Proxy 
aufbaut. Bei der Verwendung eines transparenten Proxys ist 
es jedoch notwendig, daB das NAS (Network-Access- Sy- 
stem) bei jeder Einwahl eines neuen Nutzergerates IP- 
Adresse und Nutzeridentifikationsdaten an den Informati- 
onsfilter selbstandig iibertragt. 

Weiterhin wird die Aufgabe durch ein Verfahren zum in- 
dividuellen Filtern von iiber ein Netzwerk iibertragener In- 
formationen, die an ein Nutzergerat gerichtet sind, mit Nut- 
zerprofilen gelost. Nach der Zuordnung der Netzwerk- 
adresse des Nutzergerats zu einem Nutzerprofil anhand der 
zumindest einmalige iibertragenen Nutzeridentifikationsda- 
ten, werden die vom Nutzergerat angeforderten Informatio- 
nen anhand der im Nutzerprofil gespeicherten Regeln gefil- 
tert. Durch die Regeln werden Mengen an Informationen de- 
finiert, die an das Nutzergerat iibertragen werden diirfen 
bzw. die nicht iibertragen werden diirfen. Die so definierten 
Mengen konnen durch bekannte Mengenoperationen ver- 
kniipft werden. Diese Mengen konnen durch in den Infor- 
mationen enthaltene Worter, durch Domain-Namen, durch 
die Verweilzeit im Internet oder durch die GroBe der Infor- 
mationen bestimmt werden. 

Weitere vorteilhafte Ausfiihrungsformen sind in den Un- 
teranspriichen aufgefiihrt. Es folgt eine detaillierte Beschrei- 
bung anhand der Zeichnungen. Es zeigt: 

Fig. 1 die Anordnung des Informationsfilter zwischen 
dem Internet und den Nutzergeraten, wobei die Nutzergerate 
iiber ein NAS mit dem Internet verbunden sind und die In- 
formationen entweder iiber den Informationsfilter oder ei- 
nen bereits vorhanden Proxy geleitet werden; 

Fig. 2 ein Ablaufdiagramm des Verbindungsaufbaus des 
Nutzergerats mit dem NAS, wobei sich das Nutzergerate 
einwahlt und vom NAS eine IP-Adresse zu gewiesen be- 
kommt, die in Verbindung mit den Nutzeridentifikationsda- 
ten vom Informationsfilter ausgelesen werden kann, weiter- 
hin wird gleichzeitig eine Nutzerstatistik gefiihrt; 

Fig. 3 ein Ablaufdiagramm einer Anfrage eines Nutzerge- 
rats, die einmal iiber einen normalen Proxy geleitet wird und 
alternativ iiber einen erfindungsgemaBen Informationsfilter 
mit der Funktionalitat eines Proxys, der anhand der Regeln 
iiberpriift, ob eine Anfrage oder die Antwort auf eine An- 
frage zulassig ist; 

Fig. 4 ein Ablaufdiagramm einer Anfrage eines Nutzerge- 
rats, wobei iiberpriift wird, ob eine Anfrage zu diesem Zeit- 
punkt gestellt werden darf, ob die Internet Adressen zulassig 
ist, ob der angefragte Dateitypen zulassig ist und ob person- 
liche Daten weitergegeben werden; 

Fig. 5 ein Ablaufdiagramm einer Antwort auf eine An- 
frage eines Nutzergerats, wobei iiberpriift wird, ob Schlag- 
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worter enthalten sind, die ausgeschlossen sind, ob die Datei- 
groBe iiberschritten wurde, ob der Domain-Name in der Po- 
sitivliste enthalten war, wobei Statistiken gespeichert wer- 
den. 

Die Fig. 1 zeigt den Informationsfilter 10 in seiner Anord- 5 
nung bei einem Provider 24, der einen Zugang zum Internet 
17 liber ein NAS (Network Access System) 26 ermoglicht. 
Ein Nutzer 23 wahlt sich iiber sein Nutzergerat 15 vorzugs- 
weise mit Hilfe eines Modems beim Provider 24 ein. Andere 
Formen der Verbindung sind ebenfalls denkbar. So kann 10 
eine Einwahl iiber ein Kabelmodem, iiber eine Standleitung 
oder iiber Funk erfolgen. 

Aufgrund der begrenzten Anzahl von IP-Adressen, die 
den Providern zugeteilt werden, werden diese dynamisch 
erst dann durch das NAS 26 zugeteilt, wenn sie benotigt 15 
werden. Hierzu wird eine Vorrichtung 13 zum zuweisen von 
IP-Adressen verwendet, die diese IP-Adressen iiber ein Mo- 
dem- oder ISDN-Pool 12, mit denen die Nutzergerates 15 in 
Verbindung stehen, an die Nutzergerate 15 weiterleitet. Das 
NAS 26 weist weiterhin einen nicht dargestellten Speicher- 20 
bereich auf, indem die Nutzeridentifikationsdaten abgelegt 
werden, um bei einer Einwahl fiberprfifen zu konnen, ob der 
jeweilige Nutzer ein Zugangsrecht hat oder nicht. Weiterhin 
bietet das NAS 26 die Moglichkeit von auBen auf die Nutze- 
ridentifikationdaten zuzugreifen die wiederum in Relation 25 
zu der zugewiesenen IP-Adresse gespeichert sind, sobald 
eine Verbindung aufgebaut wird. 

Anhand der Nutzeridentifikationsdaten wird ebenfalls der 
Bereich bzw. die Maske der IP-Adressen festgelegt, so daB 
ein Routing iiber einen Router 16 moglich ist. Hierdurch 30 
kann bereits zu diesem Zeitpunkt festgelegt werden, ob die 
Anfragen und Antworten des Nutzergerates 15 iiber den In- 
formationsfilter 10 geleitet werden sollen oder direkt ins In- 
ternet. Wie der Fig. 1 zu entnehmen ist, werden Informatio- 
nen, die nicht iiber den Informationsfilter 10 geleitet werden 35 
sollen, iiber einen bereits vorhandenen Proxy 11 geleitet. Al- 
ternativ konnen diese Informationen auch direkt ins Inter- 
net, ohne dabei einen Proxy verwenden zu miissen, gesendet 
werden. 

Der Informationsfilter 10 weist ein Eingabegerate 20 und 40 
ein Ausgabegerat 21 auf, die im vorliegenden Beispiel so- 
wohl Ein- als auch Ausgabefunktionalitaten aufweisen. Das 
Eingabegerate 20 steht mit den Nutzergeraten 15 in Verbin- 
dung. Das Ausgabegerat 20 steht iiber den Router 16 mit 
dem Internet 17 in Verbindung. Weiterhin weist der Infor- 45 
mationsfilter 10 eine Bearbeitungseinheit 22 und einen Nut- 
zerprofilspeicher 18 auf. Im Nutzerprofilspeicher 18 sind 
Filterprofile 19 abgelegt, die ein Regelwerk fiir Anfragen 
und Antworten beinhalten. 

Zusatzlich umfaBt der Informationsfilter 10, der vorzugs- 50 
weise die Funktionalitat eines Proxys oder eines transparen- 
ten Proxys aufweist, einen Cache- Speicher 25 zum Zwi- 
schenspeichern von Informationen. Durch den Cache- Spei- 
cher 25 kann ein Zugriff auf Informationen im Internet 17 
erheblich beschleunigt werden. Falls diese Information be- 55 
reits zu einem friiheren Zeitpunkt angefordert wurden, ist es 
nun nicht mehr notwendig, diese Informationen erneut aus 
dem Internet 17 zu laden. 

Der Fig. 2 ist der Ablauf der Anmeldung eines Nutzerge- 
rates 15 am NAS 26 zu entnehmen. Das Nutzergerates 15 60 
wahlt sich iiber den Modem- und ISDN-Pool 12 des NAS 26 
ein. Hierbei iiberpriift das NAS 20 die Nutzeridentifikati- 
onsdaten, um festzustellen, ob das Nutzergerat 15 Zugang 
zum Internet 17 erhalten darf. Weiterhin iiberpriift das 
NAS 26 anhand der Nutzeridentifikationsdaten, welche IP- 65 
Adresse aus dem IP- Pool dem Nutzergerate 15 zugeordnet 
werden soil. Das NAS 26 ubermittelt an das Nutzergerat 15 
eine IP-Adresse und tragt diese IP-Adresse in eine interne 



638 A 1 

4 

Router-Tabelle ein, um ankommende Antworten an das 
richtige Nutzergerat 15 weiterzuleiten. Weiterhin ordnete es 
die IP-Adresse den Nutzeridentifikationsdaten zu. 

Die Fig. 4 zeigt die Bearbeitung einer Anfrage und einer 
Antwort eines Nutzergerates 15, wobei unterschiedliche 
Wege beschritten werden. In der ersten Variante erfolgt die 
Anfrage fiber einen Proxy 11, der keinen Filter aufweist. Bei 
einer Anfrage eines Nutzers wird iiberpriift, ob diese An- 
frage nicht bereits durch die Informationen im Cache-Spei- 
cher beantwortet werden kann. Sollte dies der Fall sein, so 
wird die Antwort aus dem Cache- Speicher gegeben. Ist die 
Seite nicht vorhanden, so wird eine Verbindung zum Inter- 
net aufgebaut und die Seite z. B. von einem WWW-Server 
geladen. 

Bei einer Anfrage, die fiber den Informationsfilter 10 ge- 
routet wird, erfolgt, bevor die Anfrage weitergeleitet wird, 
eine Uberprfifung anhand des Filterprofile 19, ob diese Art 
von Datei von dieser Domain bzw. IP-Adresse zu der gege- 
benen Zeit geladen werden darf. Sollte ein Anfrage erlaubt 
sein, so wird, wie bereits oben beschrieben, der Cache-Spei- 
cher 25 iiberpriift, ob die Anfrage durch zwischengespei- 
cherte Informationen beantwortet werden kann. Wenn dies 
nicht der Fall ist, wird die Information aus dem Internet ab- 
gerufen. Die so geladenen Information werden im Cache- 
Speicher 25 zwischengespeichert. Bevor die Antwort an das 
Nutzergerat weitergeleitet wird, erfolgt eine Uberprfifung 
der Informationen anhand von Schlagworten. Sollte in der 
Antwort ein ausgeschlossenes Schlagwort gefunden wer- 
den, so wird die Antwort zurfickgehalten und einer weiteren 
Uberprfifung unterzogen. Diese weitere Uberprfifung erfolgt 
anhand einer Positivliste, in der alle Domain bzw. IP-Adres- 
sen aufgeffihrt sind, deren Informationen die Schlagworte 
enthalten dfirfen. So kann z. B. das Wort "Gewalt" in einem 
Artikel der Zeitschrift "Spiegel" aufgeffihrt werden, wohin- 
gegen dieses Wort in einem anderem Zusammenhang ausge- 
schlossen werden soil. Eine Verknfipfung der Schlagworte 
mit den Eintragen der Positivliste ist individuell moglich. 
Weiterhin sind alle Profileintrage variabel zu gestalten. 
Nach der Uberprfifung der Positivliste wird die Antwort 
auch auf ihre GroBe iiberpriift. Sollte die Antwort eine vor- 
geschriebene DateigroBe iiberschreiten, so wird die Antwort 
ebenfalls zurfickgehalten. 

Weiterhin werde Statistiken iiber das Verhalten aller Nut- 
zer sowie Nutzerstatistiken fur einzelne Nutzer geffihrt. Die 
Statistiken enthalten eine Reihe von Informationen. Mogli- 
che Informationen sind die Anzahl von Zugriffen im Monat 
und am Tag, der Durchschnittswert pro Woche, Tag und 
Stunde, der Zugriff geordert nach gewahlten Domain, z. B. 
Auswertung pro Land, der Zugriff geordnet nach gewahlten 
Internet- Adres sen, die Anzahl und GroBe der heruntergela- 
dener Dateien, die z. B. nach Typ und GroBe geordnet sind. 
Die Auswertung kann dabei sowohl tabellarisch als auch 
graphisch veranschaulicht werde. Weiterhin konnen Anfra- 
gen und Antworten gespeichert werden, deren Zugriff bzw. 
deren Weiterleitung aufgrund der Regeln unzulassig war. 
Zusatzlich kann ein Zeitraum bestimmt werden, indem die 
Informationen gespeichert werden. Dies kann z. B. 12 Mo- 
nate sein. 

Die Fig. 4 zeigt einen detaillierten Ablaufplan der Filte- 
rung einer Anfrage. So wird zu Beginn iiberpriift, ob der 
Nutzer zum gegeben Zeitpunkt im Internet surfen bzw. ob er 
darauf zugreifen darf. Sollte dies der Fall sein, so wird als 
nachstes iiberpriift, ob die IP-Adressen, an die die Anfrage 
gerichtet ist, in einer Negativliste bzw. Blockingliste aufge- 
ffihrt ist. Diese Listen konnen von anderen Dienstanbietern, 
wie CyberPatrol, online bezogen werden. CyberPatrol ist 
ein Anbietern der das Internet regelmaBig auf Domains und 
IP-Adressen iiberpriift, deren Inhalt dem Anstandsgeffihl 
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des gewohnlichen Nutzers nicht entspricht. Auch kann diese 
Negativliste manuell erweitert werden. Sollte die IP-Adres- 
sen nicht in der Negativliste aufgefiihrt sein, so wird weiter 
uberpruft, ob der angefragt Dateityp iiberhaupt abgerufen 
werden darf. So konnen z. B. ftp-Auftrage unterbunden wer- 5 
den, durch die ausfiihrbare Dateien geladen werden, die 
moglicherweise Viren enthalten. Die Dateiliste enthalt eine 
Reihe von Dateitypen, die nicht aus dem Internet geladen 
werden durfen. 

Zuletzt wird uberpruft, ob personliche Daten weitergeben 10 
werden. Dies kann z. B. der Fall sein, wenn in Emails Pass- 
worter iibertragen werden. Ferner kann verhindern werden, 
daB bestimmte Dateitypen vom Nutzer versandt werden. 
Hierdurch wird sichergestellt, daB keine unternehmenswich- 
tigen Daten in das Internet gelangen. 15 

Fig. 5 zeigt den Ablaufplan der Filterung bei Eintreffen 
der Antwort. Beim Eintreffen einer Antwort wird der ge- 
samte Inhalt der Antwortet uberpruft. Hierbei wird die ge- 
samte Datei auf Schlagworter uberpruft. Eine Liste von 
Schlagworter kann z. B . von anderen Diensten bezogen wer- 20 
den. Auch konnen sie manuell hinzugefiigt werden. Sollten 
bestimmte Schlagworter enthalten sein, so wird anhand ei- 
ner Positivliste uberpruft, ob von dieser IP-Adresse bzw. 
Domain Informationen bezogen werden durfen, die das 
Schlagwort enthalten. Nach dieser Uberpriifung wird die 25 
DateigroBe der Information ermittelt und mit der maximal 
zulassigen DateigroBe verglichen. Sollte auch dieses Krite- 
rium erfullt sein, so wird die Information zum Nutzer wei- 
tergeleitet. 

Der Benutzer bestimmt die Regeln entweder durch ein- 30 
fach gestaltete Formulare, in denen er ein vordefiniertes Re- 
gelwerk auswahlen kann, das individuell angepaBt werden 
kann, oder er sendet eine Email an einen entsprechenden 
Email-Server. Die in der Email definierten Regeln entspre- 
chen einer bestimmten vorgegebenen Syntax. Der Email- 35 
Server verarbeitet diese Emails und tragt die Regeln in das 
entsprechende Filterprofil ein. 

Die so durch die Regeln bestimmten Mengen konnen 
durch Mengenoperationen wie Vereinigung, Schnitt und 
Komplementarmenge miteinander verkniipft werden. Hier- 40 
bei ist es nicht maBgeblich, ob die Regeln eine Antwort- 
menge oder eine Fragemenge bestimmt haben. 

Eine integrierte Firewall, die in der Regel eine Kombina- 
tion aus Hardware und Software darstellt, dient zum Schutz 
des Nutzergerates vor Angriffen aus dem Internet. Der ge- 45 
samte Informationsaustausch wird ausschlieBlich iiber die 
Firewall gefiihrt. Die Firewall arbeiteten dabei auf verschie- 
denen Ebenen. 

Ein Packet-Filter analysiert die Informationen, die in 
Form von Datenpaketen iibertragen werden, auf der Netz- 50 
werkschicht. 

Mit Hilfe eines Circuit- Relais werden alle Verbindung am 
Eingang der Firewall unterbrochen, um sie dann am Aus- 
gang wieder aufzubauen, damit eine direkte Verbindung des 
Nutzergerates mit dem Internet auf der Protokollebene ver- 55 
hindern wird. 

Mit dem Application-Level- Gateway erfolgt ein Schutz 
auf der Anwendungsebenen. So wird fur jede Anwendung 
ein Gateway-Dienst (Proxy-Dienst) integriert, iiber den das 
Nutzergerat mit der entsprechenden Anwendung in das In- 60 
ternet gelangt. Diese Gateway-Dienst gibt es z. B. fur Web- 
Browser und FTP-Clients. Hierdurch hat nur der Proxy Zu- 
gang zum Internet das Nutzergerate selber jedoch nicht. 

Eine weitere SchutzmaBnahmen ist, das die IP-Adressen 
der Nutzergerates durch den Firewall maskierte werden, so 65 
daB nur die erfindungsgemaBe Vorrichtung Verbindung mit 
dem Internet hat. 

Der Informationsfilter 10 ist vorzugsweise als Hochlei- 



stungsrechner ausgebildet, wobei die Bearbeitungseinheit 
22 aus einem oder mehreren Mikroprozessoren besteht. Das 
Eingabegerate 20 und das Ausgabegerat 21 sind Netzwerk- 
karten bzw. Netzwerk- Adapter die eine Verbindung zu den 
entsprechenden Netzwerken bereitstellen. Die Funktionali- 
tat dieses Hochleistungsrechners wird vorzugsweise durch 
Software bestimmt. 

Der Nutzerprofilspeicher 18 und der Cache-Speicher 25 
sind Standardspeichermedien wie Festplatten oder RAM- 
Speicher. Es ist ebenfalls moglich, daB der Zugriff auf den 
Inhalt der Speicher iiber hoch performante Datenbanken er- 
folgt. 

Bezugszeichen 

10 Informationsfilter 

11 Proxy, bereits vorhanden 

12 Modem-, ISDN-Pool 

13 Vorrichtung zum Zuweisen von IP-Adressen 

14 Wahlverbindungen 

15 Nutzergerate des Nutzers 

16 Router 

17 Netzwerk, Internet 

18 Nutzerprofilspeicher 

19 Filterprofil 

20 Eingabegerat 

21 Ausgabegerat 

22 Bearbeitungseinheit 

23 Nutzer 

24 Provider 

25 Cache-Speicher 

26 NAS (Network Access System) 

Patentanspruche 

1 . Vorrichtung zum individuellen Filtern von iiber ein 
Netzwerk (17) iibertragener Informationen, die an ein 
Nutzergerat (15) gerichtet sind, 

- mit mindestens einem Nutzerprofilspeicher 
(18), in dem nutzerspezifische Filterprofile (19) 
abgelegt sind, 

- mit mindestens einem Eingabegerat (20), das 
die zu filternden Informationen aus dem Netzwerk 
(17) empfangt, 

- mit mindestens einem Ausgabegerat (21), das 
die gefilterten Informationen zum Nutzergerat 
(15) sendet, 

- mit mindestens einer Bearbeitungseinheit (22), 
die eine Netzwerkadresse des Nutzergerats (15) 
anhand der zumindest einmalig iibertragenen Nut- 
zeridentifikationsdaten dem nutzerspezifischen 
Filterprofil (19) zuordnet und die im folgenden 
anhand des Filterprofils (19) die Informationen 
aus dem Netzwerk (17), die unmittelbar oder mit- 
telbar an die entsprechenden Netzwerkadresse 
adressiert sind oder von ihr stammen, nach den 
Kriterien des Filterprofils (19) filtert. 

2. Vorrichtung nach Anspruch 1, gekennzeichnet 
durch einen weiteren Informationsspeicher (25), der 
zum Cachen von Informationen aus dem Netzwerk 
(17) dient. 

3. Vorrichtung nach einem oder mehreren der Ansprii- 
che 1 oder 2, dadurch gekennzeichnet, 

- daB das Netzwerk (17) das Internet ist und die 
Vorrichtung (10) zwischen dem Internet (17) und 
dem Nutzergerat (15) angeordnet ist, und 

- das Eingabegerat (20) mit dem Internet (17) 
verbunden ist, um Informationen aus dem Internet 
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(17) zu empfangen, und 

- das Ausgabegerat (21), die gefilterten Ergeb- 
nisse aus dem Internet (17) an das Nutzergerat 
(15) ubermittelt, 

- daB die Bearbeitungseinheit (22) anhand liber- 5 
tragener Nutzeridentifikationsdaten ein nutzerspe- 
zifischen Filterprofil (19) der IP-Adresse des Nut- 
zergerats (15) zuordnet und die Bearbeitungsein- 
heit (22) im folgenden anhand des Filterprofils 
(19) die Informationen aus dem Netzwerk (17), 10 
die unmittelbar oder mittelbar an die entspre- 
chende IP-Adresse adressiert sind oder von ihr 
stammen, nach den Kriterien des Filterprofils (19) 
filtert. 

4. Vorrichtung nach einem oder mehreren der Ansprii- 15 
che 1 bis 3, gekennzeichnet durch die Funktionalitat ei- 
nes Internet- Proxys, der eine lokale Socket- Verbindung 
zum Nutzergerat (15) aufbaut, tiber die der Informati- 
ons austausch mit dem Internet (17) erfolgt, wobei an- 
hand der zumindest einmaligen ubertragenen Nutzeri- 20 
dentifikationsdaten, die in Abhangigkeit zu der IP- 
Adresse des Nutzergerates (15) stehen, die Bearbei- 
tungseinheit (22) das nutzerspezifische Filterprofil (19) 
der IP-Adresse zuordnet und im folgenden anhand des 
Filterprofils (19) die Anfragen des Nutzergerats (15) 25 
und die Informationen aus dem Internet (17), die von 
dem entsprechenden Nutzergerat (15) angefordert wur- 
den, nach den Kriterien des Filterprofils (19) filtert, um 
die gefilterten Informationen dann iiber die Socket- Ver- 
bindung zum Nutzergerat (15) zu iibertragen. 30 

5. Vorrichtung nach Anspruch 4, dadurch gekenn- 
zeichnet, daB bei einer vom Nutzergerat (15) angefrag- 
ten Information im Cache-Speicher (25) nach der In- 
formation gesucht wird, um beim Fehlen dieser Infor- 
mation, die Anfrage an das Internet (17) weiterzuleiten, 35 
wobei nach der Ankunft oder dem Auffinden der Infor- 
mation diese nur dann iiber die Socket- Verbindung an 
das Nutzergerat (15) weitergeleitet wird, wenn das Fil- 
terprofil (19) dies erlaubt. 

6. Vorrichtung nach einem oder mehreren der Ansprii- 40 
che 1 bis 5, gekennzeichnet durch Merkmale der An- 
spriiche 7 bis 1 1 . 

7. Vorrichtung zum Filtern von iiber ein Netzwerk (17) 
iibertragener Informationen, die an ein Nutzergerat 
(15) gerichtet sind, 45 

- mit mindestens einem Profilspeicher (18), in 
dem mindestens ein Filterprofile (19) abgelegt ist, 

- mit mindestens einem Eingabegerat (20), das 
die zu filternden Informationen aus dem Netzwerk 
(17) empfangt, 50 

- mit mindestens einem Ausgabegerat (21), das 
die gefilterten Informationen zum Nutzergerat 
(15) sendet, 

- mit mindestens einer Bearbeitungseinheit (22), 
das die Informationen in Form von Anfragen und 55 
Antworten des Nutzergerates (15) anhand des Fil- 
terprofils filtert, wobei das Filterprofil (19) durch 
Regeln bestimmt wird, das Zulassungsmengen 
oder AusschluBmengen fiir Anfragen und/oder 
Antworten definieren, wobei diese Mengen durch 60 
bekannte Mengenoperatoren miteinander ver- 
kniipft werden konnen. 

8. Vorrichtung nach Anspruch 7, dadurch gekenn- 
zeichnet, daB die Regeln Worter bestimmen, die in den 
Informationen enthalten sein diirfen oder nicht. 65 

9. Vorrichtung nach einem oder mehreren der Ansprii- 
che 7 und 8, dadurch gekennzeichnet, daB die Regeln 
Domain-Namen bestimmen, von denen die Informatio- 
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nen bezogen werden diirfen oder nicht. 

10. Vorrichtung nach einem oder mehreren der An- 
spriiche 7 bis 9, dadurch gekennzeichnet, daB die Re- 
geln die GroBe, die Art und/oder den Zeitpunkt zum 
dem auf die Information zugegriffen wird begrenzen. 

11. Vorrichtung nach einem oder mehreren der An- 
spriiche 7 bis 10, dadurch gekennzeichnet, daB die Re- 
geln nutzerspezifisch anderbar sind. 

12. Vorrichtung nach einem oder mehreren der An- 
spriiche 1 bis 11, dadurch gekennzeichnet, daB eine 
Uberpriifung der angeforderten Information auf Viren 
mit Hilfe von bekannten Erkennungsverfahren erfolgt. 

13. Vorrichtung nach einem oder mehren der Ansprii- 
che 1 bis 12, gekennzeichnet durch die Funktionalitat 
eines Firewalls, wobei 

- das Eingabegerat (20) als Ein- und Ausgabege- 
rat ausgebildet ist, 

- das Ausgabegerat (21) als Ein- und Ausgabege- 
rat ausgebildet ist, und 

- die Vorrichtung (10) iiber die Ein- und Ausga- 
begerate (20, 21) das Nutzergerat (15) physika- 
lisch mit dem Internet (17) verbindet und eine di- 
rekte physikalische Verbindung mit dem Internet 
(17) fiir das Nutzergerat (15) nicht moglich ist. 

14. Vorrichtung nach einem oder mehren der Ansprii- 
che 1 bis 13, dadurch gekennzeichnet, daB statistische 
Informationen iiber das Anfrageverhalten zu jedem 
Nutzerprofil gespeichert werden. 

15. Verfahren zum individuellen Filtern von iiber ein 
Netzwerk iibertragener Informationen in Form von An- 
fragen und Antworten, die an ein Nutzergerat gerichtet 
sind, mit Nutzerprofilen, wobei 

- in einem ersten Schritt eine Netzwerkadresse 
des Nutzergerats dem Nutzerprofil anhand der zu- 
mindest einmalige ubertragenen Nutzeridentifika- 
tionsdaten zugeordnet wird, und 

- in einem weiteren Schritt die vom Nutzergerat 
angeforderten und gesendeten Informationen an- 
hand der Netzwerkadresse unmittelbar oder mit- 
telbar bestimmt werden und nach den im Nutzer- 
profil gespeicherten Kriterien gefiltert werden. 

16. Verfahren nach Anspruch 15, dadurch gekenn- 
zeichnet, daB beim Aufbau einer Verbindung zum 
Netzwerk durch ein Nutzergerat, die dem Nutzergerat 
zugewiesene Netzwerkadresse und die Nutzeridentifi- 
kationsdaten in Relation zu einander gespeichert wer- 
den und zur Auswahl des Nutzerprofils geladen werden 
konnen, wobei beim Aufbau der Verbindung iiberpriift 
wird, ob ein spezifisches Nutzerprofil vorhanden ist, 
um dieses, falls es vorhanden ist, zu aktivieren und eine 
Filterung der Informationen zu ermoglichen. 

17. Verfahren nach einem oder mehreren der Ansprii- 
che 15 und 16, dadurch gekennzeichnet, daB das Netz- 
werk das Internet ist, der Zugang zum Internet durch 
einen Network- Access-Server (NAS) erfolgt, der die 
Nutzeridentifikationsdaten in Relation mit der Netz- 
werkadresse speichert und einen Zugriff auf diese In- 
formationen erlaubt. 

18. Verfahren nach Anspruch 17, dadurch gekenn- 
zeichnet, daB der NAS aktiv die Nutzeridentifikations- 
daten dann ubermittelt, wenn sich ein neuer Nutzer an- 
gemeldet hat. 

19. Verfahren nach Anspruch 17, dadurch gekenn- 
zeichnet, daB der NAS passiv die Nutzeridentifikati- 
onsdaten ubermittelt, wenn eine Anfrage an ihn gestellt 
wird. 

20. Verfahren nach einem oder mehreren der Ansprii- 
che 15 bis 19, dadurch gekennzeichnet, daB eine lokale 
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Netzwerkverbindung mit jedem Nutzergerat aufgebaut 
wird, uber die Informationen in Form von Anfragen 
und Antworten ubertragen werden, wobei die Netz- 
werkadressen der Nutzergerate bei einer Anfrage auf 
eine Netzwerkadresse mit einer entsprechenden Mas- 5 
kierung abgebildet werden und ins Internet weitergelei- 
tet werden, und wenn die Antworten eintreffen wieder 
rucktransformiert werden. 

21. Verfahren nach einem oder mehreren der Ansprii- 
che 15 bis 20, dadurch gekennzeichnet, daB die Ant- 10 
worten liber einen langeren Zeitraum zwischengespei- 
chert werden, um bei einer erneuten Anfrage eine kiir- 
zere Antwortzeit zu erlangen, indem die zwischenge- 
speicherte Antworten ubertragen werden. 

22. Verfahren nach einem oder mehreren der Ansprii- 15 
che 15 bis 21, gekennzeichnet durch Merkmale einer 
oder mehrerer der Anspriiche 23 und 24. 

23. Verfahren zum individuellen Filtern von uber ein 
Netzwerk ubertragener Informationen in Form von An- 
fragen und Antworten, die an ein Nutzergerat gerichtet 20 
sind, dadurch gekennzeichnet, daB durch Regeln Men- 
gen an Anfragen und/oder Antworten definiert werden, 
die nicht weitergeleitet werden, wobei diese Menge 
durch bekannte Mengenoperatoren verkniipft werden 
konnen. 25 

24. Verfahren nach Anspruch 22, dadurch gekenn- 
zeichnet, daB die Regeln durch in den Informationen 
enthaltene Worter, durch Domain-Namen, durch die 
Verweilzeit im Internet und/oder durch die GroBe oder 
die Art der Informationen bestimmt werden. 30 
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which can be transmitted via a network, 
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